Intel sdělil, které bezpečnostní díry má opravené v nových CPU. Meltdown plně vyřešen

23. 8. 2018

Sdílet

 Autor: Redakce

Téma bezpečnostních problémů v procesorech se letos objevilo už tolikrát, že už asi pomalu nastává otupělost vůči této šlamastice. Ona repetetivnost je bohužel daná tím, že se tyto díry (obvykle v implementaci spekulativního vykonávání programů) objevují na dalších a dalších místech. Část těchto chyb by naštěstí měla být opravena v příštích procesorech, jak už Intel přislíbil v zimě. Doposud nebylo úplně jasné, jak daleko tyto opravy půjdou, vzhledem k tomu, že na jejich zapracování nebylo mnoho času a vývoj CPU trvá dlouhou dobu. Intel ale nyní zdá se na tuto otázku dal odpověď. Intel odhalil během akce Data-Centric Summit informace o nadcházejících procesorech Cascade Lake-SP pro servery, které mají vyjít někdy okolo přelomu tohoto a příštího roku a jsou prvními CPU, pro které jsou hardwarové opravy spekulativních děr potvrzené. Součástí těchto informací bylo právě i to, co ze zatím odhalených chyb bude spraveno a jak.

Plně opravený Meltdown...

Cascade Lake-SP bude mít v prvé řadě opravenu chybu Meltdown, která byla asi nejnapadnutelnější a zároveň šlo o celkem jasný „bug“ ve fungování jádra (na rozdíl od děr Spectre, které jsou do určité míry spíše zneužitelným vedlejším účinkem moderních architektur CPU). Meltdown neboli varianta 3 či „Rogue Data Cache Load“ dovoluje čtení privilegované paměti jádra operačního systému a všechny dosavadní procesory Intelu musí tuto díru mít zalátánu na straně operačního systému, což zhoršuje výkon. Cascade Lake-SP ji jako první jádro Intelu bude mít hardwarově opravenou. To znamená, že u těchto procesorů a dalších na ně navazujících už oprava v operačním systému nebude potřeba. A tudíž u nich také nebude vznikat ztráta výkonu, kterou oprava Meltdownu sebou nese.

intel-xeon-scalable-skylake-sp-1600...a Spectre částečně

Chyby Spectre naopak plně opravené nebudou, což asi zase dokládá, že jde o zásadní koncepční problém a jeho kompletní odstranění bude spíš dost obtížné a potrvá dlouhou dobu, pokud se vůbec podaří. Varianta 2 chyby Spectre „Brach Targe Injection“, což je ta, která si vyžádala aktualizace mikrokódů v procesorech, má podle Intelu být nějak řešena v hardwaru. Ale stále budou vedle toho potřeba také úpravy v operačním systému a virtualizačních nástrojích. To asi znamená, že zneužití této chyby bude stále bráněno hlavně prostřednictvím operačního systému, který bude manuálně volat funkce procesoru ovládající chování prediktoru větvení(STIBP, IBRS, IBPB). Tedy stejně, jako je tomu nyní u procesorů s instalovanou opravou mikrokódu.

Změna ale asi bude v tom, že zde bude toto fungování zabudováno ve výchozím stavu a aktualizace mikrokódu nebudou nutné. A kromě toho je také možné, že ztráta výkonu spojená s těmito ochrannými funkcemi bude snížena pomocí hardwarových úprav, což naznačovaly určité starší informace. Spectre v2 tedy bude hardwarově opraveno tak napůl.

Naopak Spectre v1, neboli chyba označená také jako „Bounds Check Bypass“, opravená nebude. Tento problém bude i u Cascade Lake-SP stále řešen jen prostřednictvím patchů operačního systému nebo programů, pro které je útok Spectre rizikem. U této chyby se zdá status proti současnému stavu nezmění.

Přehled oprav bezpečnostních chyb v spekulativním vykonávání kódu pro procesory Intel Cascade Lake-SP Přehled oprav bezpečnostních chyb v spekulativním vykonávání kódu pro procesory Intel Cascade Lake-SP

Další chyby opravené firmwarem

Intel dále ještě uvádí stav pro chyby v3a (Rogue System Register Read), která je podobná Meltdownu, ovšem umožňuje krást data jen z registrů, ne z paměti, a pro variantu 4 „Speculative Store Bypass“. Obě tyto chyby budou také řešeny mikrokódem a na straně operačního systému, programů nebo virtualizačního softwaru. I u těchto chyb tedy asi nedojde ke změně proti stavu u současných procesorů. (Za předpokladu, že ty současná CPU máte řádně ošetřena vydanými opravami.)

bitcoin školení listopad 24

V tabulce Intel nemá nic o nejčerstvější chybě Foreshadow, jinak též L1 Terminal Fault („L1TF“). U té je ale asi šance, že opravena bude, protože Intel při jejím publikování uvedl informaci, že má být v křemíku spravena zároveň s opravou pro Meltdown. A protože Cascade Lake má mít Meltdown vyřešen, je pravděpodobné, že také Foreshadow/L1TF by se mohla odporoučet zároveň s tím. Ve slajdech toto asi není uvedeno čistě proto, že informační embrago na Foreshadow skončilo jen nedávno.

whiskey-lake-intel-procesor-1600Pro Core 9000 zatím informace nejsou

Bohužel stále nemáme jasno v tom, jaký je stav ostatních nových CPU, která Intel tento rok chystá. Společnost vydá v rámci deváté generace Core procesory Whiskey Lake, Amber Lake a Coffee Lake Refresh, ale zatím není potvrzeno, zda jejich jádra už budou mít stejné opravy, jako Cascade Lake, nebo ještě ne. Intel uváděl, že nějaké spotřebitelské procesory by opraveny být měly, ale zda se to týká přímo těchto čipů, není potvrzeno.